Durante el último año y medio he participado en proyectos de implementación del Reglamento DORA en distintas entidades financieras y, posteriormente, en evaluaciones independientes desde la perspectiva de auditoría.

Esta doble visión permite observar un patrón bastante claro: muchas entidades no parten de cero, pero existe una brecha relevante entre lo que realmente hacen a nivel operativo y lo que DORA exige formalizar, estructurar y demostrar.

En la práctica, la mayoría de las organizaciones ya ejecutan numerosas actividades relacionadas con la resiliencia tecnológica. El reto no suele ser tanto «hacer cosas nuevas», sino ordenar, formalizar, integrar y gobernar adecuadamente lo que ya existe.

Los principales patrones observados se relacionan con:

• falta de formalización de prácticas operativas existentes
• escasa integración del riesgo TIC en el marco global de riesgos
• inventarios incompletos de activos y proveedores TIC
• debilidades en continuidad de negocio y resiliencia operativa
• marcos documentales demasiado genéricos y poco operativos

Lecciones observadas desde la implementación

Principio de proporcionalidad

Un aspecto clave que aparece de forma recurrente en los proyectos de implantación es el principio de proporcionalidad recogido en DORA.

Las entidades deben adaptar su marco de gestión del riesgo TIC, sus controles y su gobernanza a:

• el tamaño de la organización
• la complejidad de sus operaciones
• el número de empleados
• la criticidad de sus procesos de negocio

En la práctica, esto significa que no todas las entidades deben implementar el mismo nivel de estructura o formalización. Sin embargo, sí deben demostrar que su marco es coherente con:

• su perfil de riesgo
• su estrategia empresarial
• las funciones críticas o importantes que soporta su actividad

Muchas prácticas existen… pero no están formalizadas

Muchas entidades ya realizan actividades clave de resiliencia digital como:

• gestión de copias de seguridad
• pruebas de restauración
• administración de usuarios
• monitorización de sistemas

Sin embargo, estas prácticas suelen estar parcialmente documentadas, dispersas entre distintos equipos o basadas en conocimiento operativo informal.

Desde el punto de vista regulatorio, DORA no evalúa solo lo que se hace, sino lo que la organización es capaz de demostrar de forma estructurada y trazable.

El riesgo TIC se sigue percibiendo como un problema exclusivamente técnico

En muchas organizaciones todavía existe la percepción de que la gestión del riesgo TIC debe recaer únicamente en especialistas tecnológicos. Esto suele generar dos problemas relevantes:

• el riesgo TIC queda aislado dentro del área de TI
• existe escasa implicación del órgano de dirección

Sin embargo, DORA establece claramente que el órgano de dirección es responsable último de la gestión del riesgo TIC.

Falta de integración del riesgo TIC en el marco de riesgos corporativo

En muchas entidades el riesgo TIC todavía no está plenamente integrado dentro del marco de gestión de riesgos corporativo.

Falta de un mapa claro de funciones críticas y sus dependencias tecnológicas

En muchas organizaciones:

• el mapa de funciones críticas es incompleto
• no existe una relación clara con los sistemas TIC
• las dependencias con proveedores no están completamente identificadas

Inventarios incompletos de activos TIC y proveedores

Otro reto frecuente es la ausencia de inventarios completos y estructurados de activos TIC y proveedores tecnológicos, especialmente en entornos cloud, SaaS o servicios externalizados.

Gestión del riesgo de terceros TIC todavía poco madura

Entre los problemas más habituales se encuentran:

• inventarios incompletos de proveedores TIC.
• evaluaciones de riesgo poco profundas o no periódicas.
• contratos que no incorporan todas las cláusulas regulatorias exigidas por DORA.
• falta de control sobre la subcontratación de servicios TIC por parte de los propios proveedores.
• situaciones en las que el proveedor TIC subcontrata a un tercero pero intenta limitar su responsabilidad.

Hallazgos observados desde la auditoría

Los hallazgos suelen centrarse en:

• evidencia documental de controles
• trazabilidad de procesos
• cumplimiento del marco regulatorio

También es frecuente encontrar procedimientos con controles definidos que en la práctica no se ejecutan, por lo que no pueden considerarse controles operativos efectivos.

Otro aspecto recurrente es la existencia de políticas y procedimientos DORA demasiado genéricos, redactados para cumplir la norma, pero sin reflejar cómo funcionan realmente los controles dentro de la entidad.

Inventarios incompletos de activos TIC críticos

Muchas entidades no disponen de un inventario completo que permita identificar con claridad:

• activos TIC críticos
• funciones esenciales o importantes
• dependencias tecnológicas asociadas

Deficiencias en la gestión y registro de incidentes TIC

En auditorías es frecuente encontrar:

• procesos de clasificación de incidentes poco maduros
• criterios poco claros para determinar incidentes graves
• registros de incidentes incompletos
• ausencia de análisis de causa raíz

Debilidades en resiliencia operativa y continuidad de negocio

En el ámbito de continuidad se observan problemas como:

• BCP/DRP inexistentes o poco alineados con las funciones críticas
• ausencia de análisis de impacto al negocio (BIA)
• falta de identificación de procesos críticos del negocio
• RTO y RPO no formalmente definidos o aprobados por la dirección
• ausencia de escenarios tecnológicos relevantes (ciberataque, caída cloud, fallo de proveedor)
• dependencia excesiva de un único CPD o proveedor cloud

El BIA debería constituir la base para definir los escenarios de contingencia y diseñar el plan de continuidad de negocio.

Gestión de terceros TIC con debilidades contractuales

En auditorías también se detectan con frecuencia:

• inventarios incompletos de proveedores TIC
• evaluaciones de riesgo de terceros poco frecuentes o superficiales
• contratos sin cláusulas regulatorias exigidas por DORA

Especialmente relevantes son las cláusulas relativas a:

• derechos de auditoría
• subcontratación
• localización de datos

Conclusión

Tras participar en proyectos de implementación y posteriormente evaluar entidades desde la perspectiva de auditoría, una conclusión resulta clara:

DORA no es simplemente un ejercicio de cumplimiento regulatorio ni un proyecto exclusivamente tecnológico.

DORA introduce un cambio en la forma en que las entidades financieras deben gobernar su resiliencia digital.

No se trata únicamente de producir políticas o implantar controles aislados. Se trata de integrar la resiliencia tecnológica dentro de:

• el gobierno corporativo
• el marco global de gestión de riesgos
• la operativa real del negocio

Las entidades que están avanzando con mayor madurez en su adopción suelen compartir varios elementos comunes:

Implicación real del órgano de dirección

El riesgo TIC deja de tratarse como un asunto exclusivamente técnico y pasa a formar parte de la agenda de gobierno corporativo.

Integración efectiva del riesgo TIC en el marco de riesgos corporativo

Los riesgos tecnológicos se gestionan de forma coordinada con el riesgo operacional y el resto de los riesgos empresariales.

Conocimiento claro de las funciones críticas y sus dependencias

Las entidades más maduras tienen identificado:

• qué procesos de negocio son críticos
• qué sistemas los soportan
• qué proveedores intervienen en su prestación

Documentación operativa alineada con la realidad

Las políticas y procedimientos que realmente aportan valor son aquellos que reflejan cómo funcionan los controles en la práctica.

En definitiva, la verdadera madurez en DORA no se alcanza únicamente produciendo documentación o implantando controles formales.

Se alcanza cuando la resiliencia digital se convierte en parte del modelo de gobierno, del marco de riesgos y de la estrategia operativa de la entidad.

Las organizaciones que logren dar este paso no solo estarán mejor posicionadas para cumplir con el reglamento, sino que también estarán mejor preparadas para operar en un entorno financiero cada vez más digital, interconectado y dependiente de la tecnología y de proveedores TIC.